Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zertifikatproblem Outlook 2010 mit Exchange 2007

Frage Microsoft Outlook & Mail

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

03.09.2010 um 22:09 Uhr, 19506 Aufrufe, 14 Kommentare

Hallo an alle,

habe das Problem, dass wir bei der Anbindung eines Outlook 2010-Clients an einen Exchange 2007 nach Anmeldung zwei Zertifikatfehler gemeldet bekommen ("Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Site überein").

Die Lösung hierfür findet sich ja scheinbar auch hier;
http://support.microsoft.com/kb/940726/de

Nach Ausführung der ersten beiden Punkte der Lösung kommt die Zertifikatmeldung auch nur noch einmal. Jetzt eine wahrscheinlich saudumme Frage, stehe aber auf dem Schlauch.
Unter Punkt 3 der Lösung heisst es:
Ändern Sie das Attribut InternalUrl des EWS. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
Set-WebServicesVirtualDirectory -Identity "CAS-Servername\EWS (Standardwebsite)" -InternalUrl https://mail.contoso.com/ews/exchange.asmx

HInter der Option -Identity, was genau ist dort einzugeben? CAS-Servername ist soweit klar, aber was ist unter Standardwebsite zu verstehen? Habe schon auf dem Exchange IIS gesucht, aber dort nichts gefunden?
Mitglied: StefanKittel
03.09.2010 um 22:43 Uhr
Hallo,

nicht so kompliziert.

Du greifst auf die Seite mit "https://mail.firma.de/exchange/Benutzer" zu.
Das Zertifikat ist aber auf exchange.firma.de oder mail.firma.com ausgestellt. Dabei geht es meist nur darum was der User im Browser eingetippt hat.

Stefan
Bitte warten ..
Mitglied: HeinrichXII
04.09.2010 um 12:33 Uhr
Hi,

gib im Explorer unter Vertrauenswürdige Seiten jeweils den Name des Servers und seine IP, je als HTTP und HTTPS ein und es müsste klappen.
Vorsicht: Bei der Namensauflösung ".meinedomain.local" anhängen.

MfG
HeinrichXII
Bitte warten ..
Mitglied: Coreknabe
04.09.2010 um 17:20 Uhr
Hallo Ihr Beiden,

danke für die Antworten.

@Stefan: Ja, so habe ich das auch verstanden. Mein Problem ist die genaue Syntax im Befehl. Was gebe ich bei -Identity "CAS-Servername\EWS (Standardwebsite)" hinter dem CAS-Servernamen ein? Der Befehl wird mit Standardwebsite nicht akzeptiert, es gibt eine Fehlermeldung: Das Objekt wird im Domänencontroller nicht gefunden. Was muss ich hier eingeben? Oder anders gefragt: Wo kann ich ersehen, wie die Standardwebsite heisst?

@Heinrich: Das ist nicht das Problem, OWA funktioniert ja einwandfrei und ohne Gemecker. Es dreht sich allein um die lokale Outlook-Kommunikation und Exchange-Server, nicht um die Kommunikation Browser - Exchange.
Bitte warten ..
Mitglied: HeinrichXII
05.09.2010 um 00:01 Uhr
Steht auf der Fehlermeldung "sites"?

Probier's einfach mal aus. Die 4 Einträge in den Browser dürften dich aufwandtechnisch nicht umbringen.
Bitte warten ..
Mitglied: Coreknabe
06.09.2010 um 08:41 Uhr
Nochmal: Alle Einträge in den Browser sind vergebene Liebesmüh, da das Problem in der LOKALEN Kommunikation zwischen Outlook und Exchange besteht. Der Browser ist hier absolut außen vor und hat mit der eigentlichen Problematik NICHTS zu tun. Das geht auch klar aus dem Thread hervor. Zumindest, wenn man sich die Mühe macht und den verlinkten Eintrag aus der Microsoft-Knowledgebase liest...

Bin jetzt auf die Lösung meines Problems gestoßen. Die Teil-Einträge müssen wie folgt lauten:
-Identity CAS-Servername\EWS *

Ebenso verfährt man bei OAB und unifiedmessaging (Punkte 4 und 5 der Lösung). Die dort stehenden Anführungszeichen müssen ebenfalls weggelassen werden. ACHTUNG: Stimmt der Aufruf des Webservers inhaltlich für den externen und internen Zugriff nicht überein, genauer hinschauen! Mag sein, dass das keine Rolle spielt, habe ich mir nicht genauer angesehen. In meinem Fall ist das egal, da der Aufruf von extern und intern identisch ist.

Nochmals Danke für die Antworten!
Bitte warten ..
Mitglied: Wackerstein
14.07.2011 um 18:47 Uhr
Coreknabe
Vielend Dank für diesen letzten Hinweis.
Er hat mir viel Zeit gespart.
Achtung: keine Leerstelle nach EWS
Bitte warten ..
Mitglied: Coreknabe
15.07.2011 um 09:53 Uhr
Moin Wackerstein,

da freue ich mich doch, dass ich auch mal was wusste

Danke für Deine Anmerkung.
Bitte warten ..
Mitglied: saber-rider
28.10.2011 um 10:27 Uhr
Hallo Coreknabe,

auch ich habe das Problem mit den Sicherheitszertifikaten und dem Outlook Client.

Erst mal vielen Dank für Deinen Thread und dem Hinweis mit dem * für die Standardwebsite - da muss man erst mal drauf kommen.

Ich verwende für intern / extern zwei unterschiedliche Namen - leider hat der Tip der KB (http://support.microsoft.com/kb/940726/de) nicht geklappt. Ich bekomme immer noch die Zertifikatsfehlermeldung beim Starten des Outlook Clients.

Hast Du (oder ein anderer Leser dieses Freds) vielleicht noch einen Tip für mich wo ich für eine Lösung ansetzen kann?

Vielen Dank
Saber-Rider
Bitte warten ..
Mitglied: Coreknabe
28.10.2011 um 10:52 Uhr
Moin Saber-Rider,

wie bereits erwähnt, habe ich nicht die Problematik, dass ich intern und extern unterschiedliche Namen verwende. Zu diesem Thema sagt Microsoft in meinem eingangs erwähnten Link:

Wenn sich der interne Namespace vom externen Namespace unterscheidet und wenn Sie kein Zertifikat verwenden können, das alternative Antragstellernamen unterstützt, verwenden Sie die Task Set-ClientAccessServer in der Exchange-Verwaltungsshell, um die URL zu ändern. In diesem Szenario müssen Sie die URL so ändern, dass sie auf den neuen Speicherort für AutoErmittlung zeigt. Verwenden Sie z. B. den folgenden Befehl, um auf den neuen Speicherort für AutoErmittlung zu zeigen:
Set-ClientAccessServer –AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml

Du brauchst also ein entsprechendes Zertifikat oder muss mit Set-ClientAccessServer rumwurschteln.
Bitte warten ..
Mitglied: saber-rider
28.10.2011 um 11:12 Uhr
Moin

den neuen Speicherort für die AutoErmittlung hatte ich schon ausprobiert - leider ohne Erfolg.

Dann werde ich - wenn wir das TLS Zertifikat erneuern - versuchen eines zu besorgen in dem auch der alternative Namenseintrag vorhanden ist. Das ist im Moment nicht so - ich habe vor einem Jahr keine Firma gefunden, die mir so ein Zertifikat ausstellen will.

Wo besorgst Du Dir Deine Zertifikate?
Bitte warten ..
Mitglied: Coreknabe
28.10.2011 um 11:23 Uhr
Meine Zertifikate baue ich mir mit SelfSSL. Mit Windows-Bordmitteln geht das auch, die gelten dann aber nur für ein Jahr (Default, per Registry-Frickelei lässt sich die Ablaufdauer verlängern). Bin aber faul und SelfSSL macht's leichter. Weiterer Vorteil ist, dass ich die Standardeinstellungen von Windows nicht verdrehe und ich später Seiteneffekte habe, aber nicht mehr dran denke, dass ich mal was verdreht habe. Oder nicht auf dem Zettel habe, dass diese Einstellung auch anderes beeinflusst. Ja, ich weiß, dass Profi-Dokumentierern sowas nicht passiert...

Ansonsten zur Erstellung von Zertifikaten mit alternativem Namenseintrag:

http://technet.microsoft.com/de-de/library/bb680733.aspx
http://www.msxfaq.de/signcrypt/setupca2008.htm
http://support.microsoft.com/kb/931351/de

Viel Spaß beim Lesen!
Bitte warten ..
Mitglied: saber-rider
28.10.2011 um 12:07 Uhr
Mit diesen - von der Root CA erstellten - Zertifikaten bekommt der Benutzer doch immer den Misstrauenshinweis im Browser zu sehen (es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das nicht.

Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?
Bitte warten ..
Mitglied: Coreknabe
28.10.2011 um 12:27 Uhr
Mit diesen - von der Root CA erstellten - Zertifikaten bekommt der Benutzer doch immer den Misstrauenshinweis im Browser zu sehen
(es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das
nicht.

Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?

Nö, haste nicht. Hast aber auch nichts davon erwähnt, dass das so nicht sein soll.

Ansonsten heißt das Zauberwort in einer Domäne "Auto-Enrollment".
Bitte warten ..
Mitglied: saber-rider
28.10.2011 um 12:58 Uhr
Zitat von Coreknabe:
> Mit diesen - von der Root CA erstellten - Zertifikaten bekommt der Benutzer doch immer den Misstrauenshinweis im Browser zu
sehen
> (es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das
> nicht.
>
> Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?
>
Nö, haste nicht. Hast aber auch nichts davon erwähnt, dass das so nicht sein soll.

Ansonsten heißt das Zauberwort in einer Domäne "Auto-Enrollment".


Stimmt - sorry hätte ich erwähnen sollen.
Ich werde dann bei der nächsten Zertifikatsanforderung auf den alternative Namenseintrag achten und hoffen, dass Outlook dann auch denn Richtigen nimmt.

Vielen Dank für Deine Infos.
Schönes WE
Bitte warten ..
Ähnliche Inhalte
Exchange Server
gelöst Exchange 2007 und 2010 Koexistenz - Transportprobleme (3)

Frage von john-doe zum Thema Exchange Server ...

Outlook & Mail
gelöst Outlook 2010 mit Exchange 2016 (15)

Frage von slansky zum Thema Outlook & Mail ...

Exchange Server
gelöst Outlook 2016 und Exchange 2010 (1)

Frage von chnie123 zum Thema Exchange Server ...

Microsoft Office
Outlook 2007 speichert Exchange Kennwörter nicht (2)

Frage von stefts zum Thema Microsoft Office ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Rechtliche Fragen
gelöst Geschäftsführer Email gefaked (18)

Frage von xbast1x zum Thema Rechtliche Fragen ...

Vmware
gelöst Update auf ESXI 6.5 Installieren (15)

Frage von zeroblue2005 zum Thema Vmware ...

Vmware
VMware ESX - Start einer VM verhindern (15)

Frage von emeriks zum Thema Vmware ...

Festplatten, SSD, Raid
gelöst Welche Software für Bandlaufwerk (14)

Frage von djonas zum Thema Festplatten, SSD, Raid ...